Amerikaanse stad betaalt 600.000 dollar losgeld aan cybercriminelen

De Amerikaanse stad Rivera Beach betaalt hackers 600.000 dollar losgeld om verlost te worden van gijzelsoftware. De hackers hadden met ransomware de gemeentelijke ICT-systemen platgelegd.

In Riviera Beach werd er malware geïnstalleerd op een pc van een ambtenaar, nadat deze op een onveilige link klikte in een e-mail.

Volgens CBS News heeft het stadsbestuur van Rivera Beach unaniem besloten om de cybercriminelen te betalen. De ransomware heeft bestanden versleuteld, waardoor ze niet meer toegankelijk zijn tot er losgeld betaald wordt.

De stad moet het losgeld in bitcoin betalen aan de hackers. Het besluit kwam nadat computersystemen van overheidsinstellingen door ransomware getroffen werden drie weken geleden.

Door de aanval konden ambtenaren niet meer bij hun bestanden en konden medewerkers van de alarmcentrale geen gesprekken registeren als er naar 911 gebeld werd.

Het bestuur van Riviera Beach had al besloten om een miljoen dollar (887.784 euro) uit te trekken voor nieuwe computersystemen, maar dit blijkt niet voldoende om alle processen weer op te starten.

Meerdere ransomware-aanvallen in de VS

Riviera Beach is niet de enige stad die getroffen is door ransomware. Ook de stad Baltimore kampt al weken lang met een ransomware-aanval. Daar werd besloten om niet te betalen.

Veel computers bij Amerikaanse overheden blijken vatbaar voor cyberaanvallen, omdat ze verouderd zijn en niet de laatste updates niet zijn geïnstalleerd. Hierdoor kunnen hackers gebruikmaken van oude kwetsbaarheden in software, die nog aanwezig zijn op deze oude systemen.

Israëlische tool kraakt elke nieuwe iPhone en Android telefoon

Nieuwe iPhones zijn nu net zo gemakkelijk te hacken als Android-telefoons. Het Israëlische digitaal forensische bedrijf Cellebrite zegt een tool te hebben ontwikkeld waarmee alle huidige apparaten eenvoudig ontgrendeld kunnen worden.

Zelfs voor politieagenten en inlichtingendiensten was het tot dusver moeilijk om iPhones en iPads te kraken. De Israëli beweren dat het dat wel kan. Het bedrijf Cellebrite zegt zelfs alle huidige iPhones met iOS 12.3 en high-end Android-telefoons te kunnen ontgrendelen.

Cellebrite kondigde met trots via Twitter aan dat ze elke Android mobiele telefoon en nu elk iOS-apparaat vanaf iOS 12.3 kan kraken.

Dit baart niet alleen fabrikanten en klanten zorgen. De Hacker-methode van Cellebrite wordt namelijk niet in het eigen laboratorium achter slot en grendel uitgevoerd, maar wordt verkocht.

De tool “#UFED Premium” is ingebouwd in apparaten die mobiele telefoons zonder code kunnen ontgrendelen.

Dit is normaal gesproken alleen beschikbaar voor onderzoekers, militairen en inlichtingendiensten zoals de FBI, met wie Cellebrite beweert samen te werken.

Hacking tool op eBay

Deskundigen vrezen dat de tool veel te gemakkelijk in verkeerde handen kan komen.

Begin maart 2019 meldden verschillende media dat ze de mobiele telefoonhacktool op eBay hadden gezien. Het is duidelijk dat de hackmethode zo ook gemakkelijk gebruikt kan worden door criminelen of foute regimes.

Zelfs Cellebrite was verward over de tweedehandsverkoop van zijn apparatuur. Het waren immers waarschijnlijk oude apparaten waarmee de huidige Android mobiele telefoons en iPhones waarschijnlijk niet gehackt konden worden. Maar zelfs deze moeten teruggestuurd worden naar het bedrijf in plaats van dat ze doorverkocht worden.

De Israëli zijn niet de enige aanbieders van hackingtools voor smartphones. De Amerikaanse concurrent Grayshift biedt de iPhone-hack voor 30.000 dollar aan en zit Cellebrite er mee op de hielen. De zogenaamde GrayKey box kan echter alleen oudere iPhones kraken.

Apple ontwikkelt al tegenmaatregelen om zijn iPhones en iPads te beschermen. Met de aankomende iOS 13 worden Apple apparaten dan beschermd tegen de methoden van dergelijke beveiligingsbedrijven.

Duitsers kunnen zich vanaf dit najaar identificeren met digitale ID-kaart op iPhone

“Ausweis Bitte!” Duitsers die zich online moeten legitimeren hoeven daarvoor geen ouderwets paspoort, rijbewijs of ID-kaart meer op zak te hebben. De Duitse overheid heeft twee jaar geleden de AusweisApp2 ontwikkeld. Eerst alleen voor Android telefoons, maar nu ook voor iPhones.

Volgens het Duitse ministerie van Binnenlandse Zaken kan de AusweisApp2 ook op Apple-apparaten worden gebruikt dankzij de functie-uitbreidingen voor de NFC-interface die voor iOS 13 zijn aangekondigd.

De AusweisApp2 overbrugt de kloof tussen de optionele online ID-kaartfunctie van de ID-kaart en het gebruik ervan op het internet.

Functies van de online identiteitskaart

Compatibele smartphones en tablets hebben via een NFC-aansluiting op hun ID-kaart toegang tot de volgende functies:

Tot nu toe was dit onder iOS niet mogelijk vanwege de beperkte functionaliteit van de NFC-interface.

Apple weigerde tot dusver de interface vrij te geven aan externe leveranciers vanwege de hoge beveiligingseisen van het bedrijf.

Hacker legt alle automatiseringsystemen van Baltimore al een maand lang plat

Het computernetwerk van de Amerikaanse metropool Baltimore is al een maand lang volledig verlamd. Van de waterrekening tot de aankoop van een huis… Niets werkt meer.

Sinds begin mei zijn bijna alle computersystemen in de stad stilgelegd, zelfs e-mails en telefoons zijn dood. De administratie moet het doen met noodoplossingen en papier.

De inwoners van de stad werden op 7 mei voor het eerst ingelicht via Twitter. Vanwege de hack lukte dat niet via mail. Uit de tweet blijkt dat de gemeente op dat moment nog niet de enorme impact van de cybercrime aanval in de gaten had:

“We negeren je niet. Onze e-mail service werkt niet. We werken eraan.”

Werknemers van de stad in de Amerikaanse staat Maryland hadden wel gemerkt dat sommige systemen zich vreemd gedroegen. De IT-beveiligers ontdekten al snel dat tientallen stadsservers door een Trojaan waren versleuteld – en haalden het systeem van het net. Sindsdien kan het hele bestuurlijke en ambtelijke apparaat niets meer doen.

Of het nu gaat om de betaling van de waterrekening, een parkeerkaart of de overdracht van een huis aan een nieuwe eigenaar: alles ligt al wekenlang braak in Baltimore.

Er komen geen e-mails meer binnen, zelfs de telefoonsystemen waren deels buiten werking.

Om op de een of andere manier te kunnen werken, creëerden de medewerkers privé-e-mailadressen voor hun werk, waarna de administratie na jaren weer overging op papier om op de een of andere manier verder te kunnen werken.

Gelukkig zijn de politie, de brandweer en de gezondheidszorg niet getroffen.

De gevolgen zullen waarschijnlijk nog enige tijd aanhouden.

Hoewel het voor de autoriteiten inmiddels mogelijk is om een deel van de dagelijkse werkzaamheden te hervatten, zijn de problemen in Baltimore nog steeds niet opgelost. De stad moet met spoed fors investeren om de computersystemen weer veilig te kunnen gebruiken. De redding van de rest van het systeem zou ongeveer vijf miljoen euro moeten kosten, en tegen het einde van het jaar wordt nog eens vijf miljoen euro verwacht.

Het dagblad Baltimore Sun meldt dat er nog eens tien miljoen euro verloren is gegaan door het gebrek aan inkomsten.

Burgemeester wil niet betalen

Burgemeester Bernard C. Young, bekend als “Jack”, was pas enkele dagen in functie toen het losgeldbriefje arriveerde: de aanvaller eiste 13 Bitcoin, wat overeenkomt met ongeveer 90.000 euro.

Individuele systemen zouden worden vrijgegeven voor drie Bitcoin. Maar burgemeester Young weigerde om te betalen. “Wij betalen geen misdadigers voor hun slechte daden”, verklaarde de burgemeester aan de Baltimore Sun.

Het was immers niet bekend of de systemen na betaling überhaupt weer vrijgegeven zouden worden.

In plaats daarvan heeft Young de NSA en de FBI gewaarschuwd en externe consultants ingeschakeld om de problemen op te lossen.

Al snel werd duidelijk dat de hackers het aanvalsgereedschap “Robbinhood” gebruikten, dat al in andere hoogwaardige zaken werd gebruikt.

De verdenking dat ook een gestolen NSA cyberwapen was gebruikt kon niet worden bevestigd door de deskundigen Eric Sifford en Joe Stewart. Zij legden in een blogbericht uit dat hier geen aanwijzingen voor zijn gevonden in de onderzochte programmaonderdelen.

UPS

En iemand anders ontkent het gebruik van NSA-tools: de hacker zelf. Blijkbaar gefrustreerd door de niet-betaling, vroeg hij enkele dagen geleden via Twitter aan burgemeester Young en verschillende gemeenteraadsleden om eindelijk het bedrag te betalen.

Hij zou zelfs een aantal van de servers gratis ontgrendelen, zo bood de hacker aan. Hij wilde laten zien dat het echt mogelijk was om de gegevens te redden. Hij kon bewijzen dat het de dader was met interne documenten van het stadsbestuur, die door de deskundigen als echt werden beschouwd.

Ondertussen is het account door Twitter geblokkeerd. Niet vanwege de hack, maar omdat de vermeende hacker burgemeester Young racistisch beledigde.

De aanpak van de hacker is ongewoon, benadrukken experts volgens “Ars Technica”.

Normaal gesproken zouden dergelijke aanvallers voorkomen dat zij het bewijs van indringing in het systeem leveren en zelfs in het openbaar commentaar geven op het systeem. Zij vermoeden dat de dader een ander motief voor zijn daad heeft. Ze vermoeden dat hij de hack van de stad ziet als een reclamecampagne om de kracht van zijn chantage-instrument te laten zien. Om zich te kunnen verhuren aan derden.

Beste journalist van Nederland schrijft boek over digitale onderzoeksjournalistiek bij cybercrime

RTL-Journalist Daniël Verlaan komt met een boek over verborgen online criminele werelden. Hij wil laten zien hoe hij journalistiek onderzoek doet in de krochten van het internet: van criminele hackers tot het dark web.

“Gelekte wachtwoorden, geplunderde bankrekeningen of gestolen naaktfoto’s: hackers zijn ontzettend vaak in het nieuws”, zegt Verlaan. “Maar wat schuilt er achter die verhalen? In de krochten van het web kom ik de meest bizarre, vreemde en spannende verhalen tegen, die ik in dit boek wil vertellen. Na het lezen weet je wat er allemaal in deze digitale uithoeken gebeurt, en hoe je jezelf zo goed mogelijk kunt beschermen — zelfs als je helemaal niet zo veel van het internet begrijpt.”

Het boek moet in 2020 verschijnen. Het is gebaseerd op de nieuwsverhalen die Verlaan voor RTL Nieuws heeft gemaakt. 

De afgelopen jaren dook Verlaan in verschillende digitale uithoeken, zoals een netwerk dat jonge meisjes hackt en hun naaktfoto’s steelt. Of hoe criminelen via gehackte webshopaccounts op jouw rekening dure spullen bestellen.

Verlaan won dit jaar De Loep, de prijs voor de beste onderzoeksjournalistiek, en vorige week kwam daar ook de Tegel bij, de belangrijkste journalistieke prijs van Nederland. Hij kreeg beide prijzen voor zijn verhalen over de duistere kant van het internet. 

Eerder schreef Verlaan de gratis online handleiding Laat Je Niet Hack Maken, die in begrijpelijke taal uitlegt hoe je jezelf beschermt tegen hackers.

Hoogleraar: ‘Verwacht niet al te veel van de Autoriteit Persoonsgegevens als je met een verborgen camera gefilmd bent op een toilet’

In zeker vijf horecazaken in Nijmegen worden bezoekers op het toilet gefilmd, onthult dagblad De Gelderlander. In één discotheek hangt de camera zelfs zo, dat geslachtsdelen van plassende mannen in beeld worden gebracht.

Daar maakt de Autoriteit Persoonsgegevens (AP) snel korte metten mee, denk je. Dat moet op basis van de Algemene Verordening Gegevensbescherming (AVG) vrij eenvoudig zijn. De horecaondernemer zou een forse boete moeten kunnen worden opgelegd.

Volgens de privacy-expert en hoogleraar informatierecht Nico van Eijk hoeven gefilmde bezoekers echter op korte termijn weinig van de Autoriteit Persoonsgegevens (AP) te verwachten. Van Eijk vertelde dat aan het Radio 1 Journaal.

“Het makkelijkste is om de eigenaar aan te spreken”, zegt Van Eijk. “En als dat niets uithaalt media-aandacht genereren. Het is veel ingewikkelder om naar de Autoriteit Persoonsgegevens te gaan, want die hebben heel veel zaken. Dan gaat het lang duren. De politie treedt bij uitwassen ook op. Maar het beste is om niet meer naar die kroeg te gaan.”

De deskundige analyse van het handhavingsbeleid bij overtredingen van de APV en de zedenwet door de AP en de politie is even pijnlijk als veelzeggend voor de manier waarop de overheid met veel bombarie gelanceerde wetgeving nutteloos maakt.

Een jaar na de invoering van de AVG constateren deskundigen, ondernemers en burgers dat – zoals vooraf al was voorspeld – de privacywet goedwillende organisaties op kosten jaagt en kwaadwillende personen vrijuit laat gaan.

Als je je auto verkeerd parkeert of te snel rijdt krijg je meteen een hoge boete, maar als een ondernemer overduidelijk de AVG overtreedt kan het maanden duren voor de Autoriteit Persoonsgegevens in beweging komt. Dat valt niet uit te leggen.

Het was voor journalisten van De Gelderlander een fluitje van een cent om de overtredingen in de Nijmeegse horeca bloot te leggen. De krant onderzocht de toiletten in twintig bekende Nijmeegse uitgaansgelegenheden. Sommige camera’s blijken er al jaren te hangen, in drie van de vijf zaken brengt de camera het urinoir ook in beeld.

Opvallend is dat in een discotheek in de Molenstraat in het centrum een camera achter de plasbakken op het mannentoilet hangt, waarvan de beelden bij de ingang op beeldschermen te zien zijn. Een medewerker zegt tegen de krant dat ze dienen voor de bewaker: het is volgens hem niet de bedoeling dat andere bezoekers kunnen meekijken met wat zich op het toilet afspeelt.

Niet toegestaan

Volgens regels van de Autoriteit Persoonsgegevens maken camera’s in bijvoorbeeld een toilet, maar ook een kleedkamer of pashokje, een “te grote inbreuk op de persoonlijke levenssfeer van betrokkenen”. Cameratoezicht op dit soort plekken is volgens de AVG niet proportioneel en dus niet toegestaan.

“Alleen in heel bijzondere omstandigheden, als andere middelen niet kunnen, kan het nog te overwegen zijn om camera’s op te hangen in toiletten”, zegt privacy hoogleraar Nico van Eijk. “Dat is dan hooguit tijdelijk. Maar het is eigenlijk heel simpel: mensen hebben gewoon recht op hun privacy. Met name op de wc.”

Bord

Het gebeurt volgens Van Eijk wel vaker dat er camera’s hangen op toiletten. “Soms wordt het ook wel met een bord aangekondigd. Dat helpt misschien een beetje om te bepalen of je naar die betreffende gelegenheid wilt.”

Ik vind het advies van hoogleraar Van Eijk aan slachtoffers een verkeerd signaal. Als we allemaal schouderophalend accepteren dat de overheid beleid niet uitvoert zal er nooit iets veranderen. Dit soort uitwassen vormen een ideale mogelijkheid om het falende uitvoeringsbeleid aan de orde te stellen.

Stel dat deze camera’s in de kindertoiletten op een school of bij een sportvereniging hadden gehangen… Was de overheid dan wel snel in actie gekomen? Laat de verantwoordelijke minister dat maar eens uitleggen. Het wordt een jaar na de invoering van de AVG tijd voor kamervragen en burgerinitiatief.

Ik ben benieuwd in hoeveel horecagelegenheden in de rest van Nederland ook camera’s hangen in toiletten. Iedereen die naar een toilet in een café, discotheek of restaurant gaat zou nu heel bewust moeten controleren of er verborgen camera’s ontdekt kunnen worden. Maak foto’s of video-opnamen van deze camera’s en deel ze via social media. Vraag de uitbater om opheldering en doe zeer zeker ook aangifte bij de Autoriteit Persoonsgegevens én de politie. Laten we overtreders en overheid collectief onder druk zetten.

Privacywet heeft geen effect. ‘123456’ nog steeds populairste wachtwoord

Wachtwoorden verzinnen en herinneren is voor veel mensen een drama. Zodra je denkt dat je het veiligste wachtwoord aller tijden hebt gevonden, verschijnt de waarschuwing: Het is te kort, bevat geen speciaal teken, er ontbreekt een nummer.

Veel mensen worden gek van die meldingen. Ze ergeren zich er mateloos aan. Negeren vervolgens 1, 2, 3 alle waarschuwingen voor cybercrime en gebruiken gewoon een standaard gemakkelijk te onthouden – en te kraken – wachtwoord. Onder het mom van: ‘dat zien we dan wel weer’ of – tegen beter weten in – ‘ik heb niets te verbergen’.

Een jaar na de invoering van de privacywet lijken alle awareness campagnes vrijwel geen impact te hebben gehad. Het British National Cybersecurity Center (NCSC) heeft een lijst met de 100.000 populairste wachtwoorden gepubliceerd, gebruikmakend van gegevens van wereldwijde gegevenshacks.

Hoor jij bij de risicogroep?

Het wachtwoord “123456” leidt de lijst. De combinatie van cijfers kwam 23 miljoen keer voor in de verzamelde gegevens.

De tweede plaats gaat naar de creatieve uitbreiding: “123456789”.

Ook populair, en bijzonder gemakkelijk te onthouden, is het wachtwoord van 3,6 miljoen mensen: “wachtwoord”.

Opvallend waren ook de namen van verschillende muziekgroepen zoals “Blink 182”, “50cent” en “Eminem”.

Superman en Batman zijn populairder onder superhelden dan Spiderman.

Romantiek wordt van plaats 14 met “iloveyou” – even later volgen “prinses”, “kusme”, “onelove” en “titanic”.

De onderzoekers ontdekten ook dat namen allesbehalve geschikt zijn. “Ashley’ is de meest voorkomende vrouwelijke voornaam, terwijl ‘Michael’ triomfeert in de mannelijke wachtwoord variant. Ik ben benieuwd naar de Nederlandse voornamen die populair zijn als wachtwoord.

Voor het onderzoek werkte de Britse organisatie samen met de Australische cyberbeveiligingsexpert Troy Hunt, bekend van de website “Have I Been Pwned? Zo kunnen gebruikers testen of hun e-mailadres in verband met datalekken wordt weergegeven.

Awareness waarschuwing

Staat jouw wachtwoord in de hitlijst van cybercriminelen? Wordt dan eindelijk wakker. Houd je zelf niet langer voor de gek. Je laat de sleutel van je huis, fiets of auto toch ook niet gewoon in het slot zitten? Zorg eindelijk eens voor dat je onveilige wachtwoorden vervangen worden door veilige inloggegevens. Liefst ook double optin. Moeilijk? Welnee. Gebruik goede wachtwoord management software als ‘Last Pass’ of ‘Bitwarden’. Dan wordt het verzinnen en onthouden van moeilijke wachtwoorden een fluitje van een cent.

Google is niet de beste zoekmachine. Nederlandse zoekmachine Startpage verrassende winnaar

De Duitse consumentenorganisatie Stiftung Warentest heeft tien zoekmachines getest. Verrassend genoeg staat Google op de tweede plaats in de ranglijst. De Nederlandse zoekmachine Startpage komt als beste uit de bus!

Stiftung Warentest onderzocht de tien zoekmachines drie maanden lang.

Er werden 50 verschillende zoekopdrachten per zoekmachine getest. Het doel was om de verschillende gebruikssituaties en intenties in het dagelijks leven opnieuw te creëren. De zoektermen bevatten kleine spelfouten, dubbelzinnigheden en zuivere parafraseringen voor bepaalde woorden. Er werd ook naar relatief onbekende personen en inhoud gezocht.

Om geen appels met peren te vergelijken bepaalde Stiftung Warentest dat de functionaliteit en zoekinstellingen van de zoekmachines in de test in overeenstemming moesten zijn met die van een ander deelnemend zoekplatform.

Bij de test werd ook een juridische audit gedaan waarbij gecontroleerd werd in hoeverre de zoekmachine voldoet aan de Europese regels.

Stiftung Warentest heeft 10 verschillende zoekmachines getest. Google bleek niet de beste en zeker niet de veiligste zoekmachine te zijn.

Volgens Statista werd in februari 2019 ongeveer 90 procent van de zoekopdrachten wereldwijd via desktop PC’s op Google uitgevoerd.

“Google is technisch uitstekend”, zegt Stiftung Warentest. “De zoekmachine levert passende resultaten, biedt veel comfort en praktische extra functies. Maar het draait niet alleen om techniek.”

Over het geheel genomen komt Google slechts tot een bevredigend resultaat. Dit als gevolg van het ontoereikende privacybeleid. Alleen Google en een andere zoekmachine scoorden op dit punt zo slecht.

Dit is de beste zoekmachine!

Volgens Stiftung Warentest wemelt de privacyverklaring van Google “van ontoelaatbare clausules”. Daarnaast stuurt Google onnodige informatie door.

De consumentenorganisatie heeft ook kritiek op de gepersonaliseerde reclame die Google gebruikt om gebruikersgegevens te verzamelen via de zoekmachine zelf of andere Google-diensten.

Nederlandse zoekmachine Startpage verrassende winnaar van Duitse test

De Nederlandse zoekmachine Startpage lijkt geen enkele tekortkoming te hebben in de privacyverklaring. Van alle tien geteste zoekmachines scoort Startpage het best met “goed” in de algemene beoordeling.

De derde plaats gaat naar Ecosia.org en web.de. Verschillende kleine aanbieders van zoekmachines hebben in de test bevredigende resultaten behaald.

Drie van de acht gebruiken de zoektechnologie van Google in hun portal. Startpage maakt ook gebruik van de technologie, maar dan wel een anonieme variant die verantwoordelijker omgaat met privacygegevens.

“Gevaarlijke versnelling” van de digitale bewakings- en deportatiemethoden van Donald Trump

De Amerikaanse president Donald Trump kan volgens burgerrechtenactivisten dankzij Amazon en Palandir tegenstanders gemakkelijker laten traceren en geraffineerde profielen over hen laten creëren. De digitale spionage techniek zou de basis vormen voor controversiële discriminerende politiepraktijken zoals raciale profilering.

Volgens een rapport van de burgerrechtenactivisten verhuurt de Amerikaanse hightechindustrie zich in toenemende mate als technische dienstverlener voor overheidsprojecten, zoals het toezicht op en de deportatie van immigranten. Amazon en Palantir hebben er inmiddels miljarden dollar mee verdiend.

Het is geen geheim dat het “militair-industriële complex” van de defensie-industrie en overheidsinstellingen zoals het Pentagon ook Silicon Valley groot heeft gemaakt.

Lokale uitlopers van Lockheed Martin, bijvoorbeeld, behoorden tot de eersten die profiteerden van militaire orders in de Californische Bay Area.

De nauwe banden tussen Washington en de hightechindustrie, waarvoor Silicon Valley nu synoniem is, blijven bestaan, aldus de auteurs van een recent rapport over een donkere kant van de industrie.

Het rapport is in opdracht van de Amerikaanse burgerrechtenorganisaties Mijente, Immigrant Defense Project en National Immigration Project opgesteld door het marktonderzoeks- en strategiebedrijf Empower.

Department of Homeland Security

Aan de hand van het voorbeeld van de Amerikaanse grenspolitie Immigration and Customs Enforcement (ICE), die rapporteert aan het Department of Homeland Security (DHS), leggen de deskundigen uit hoe de technologie- en gegevensindustrie bijvoorbeeld invallen, arrestaties en deportaties van vluchtelingen uitvoert.

42 procent meer arrestaties van potentieel illegale immigranten

In de eerste negen maanden van de regering van Donald Trump, hebben ICE-agenten 42 procent meer arrestaties van potentieel illegale immigranten verricht.

Gemeenschappen met veel migranten zouden te maken krijgen met een ongekend niveau van toezicht, aldus de auteurs van de onderzoeksnotitie.

Dit zou gebaseerd zijn op technische innovaties en infrastructuur. Hierdoor kon de paramilitaire politie toegang krijgen tot uitgebreide databases en opslagfaciliteiten die via de cloud met elkaar zijn verbonden, evenals geavanceerde algoritmes en computerprogramma’s voor de analyse van grote hoeveelheden gegevens.

Met deze systemen kan ook de uitwisseling van informatie tussen gemeenten, federale staten, regionale wetshandhavingsinstanties en buitenlandse kantoren aanzienlijk worden uitgebreid.

Amazon en Palantir als ruggengraat van het onderzoeksnetwerk

Volgens het onderzoek zijn relevante transacties uiterst lucratief voor alle betrokken partijen. Aan de ene kant heeft het DHS alleen al een pot van 4,4 miljard dollar beschikbaar voor gegevensbeheer.

De deportatiepolitie en andere veiligheidsinstanties zijn op hun beurt weer afhankelijk van de producten en diensten van de IT-industrie om hun groeiende informatiesystemen te laten functioneren.

Dit is de enige manier om de gegevens op te slaan en te evalueren, met inbegrip van vingerafdrukken, gezichtsbeelden of irisscans, verkregen van kentekenplaatscanners of biometrische systemen.

Amazon en Palantir vormen de “ruggengraat” van de “immigratie- en wetshandhavingstrawl” van de Amerikaanse regering

 

Volgens het rapport vormen Amazon en Palantir de “ruggengraat” van de “immigratie- en wetshandhavingstrawl” van de Amerikaanse regering, waarvoor zij naar verluidt zwaar gelobbyd hebben.

Dankzij hun nu leidende rol hadden beide bedrijven “multi-miljardencontracten” kunnen sluiten met verschillende overheden op alle niveaus van de veiligheids- en defensiesector.

Het duo stelt het DHS in staat zijn datagestuurde aanpak uit te breiden en lokale beschermingsmaatregelen voor immigranten te omzeilen.

Palantir ondersteunt de deportatiemachine van de Republikeinse overheid

Het online magazine The Intercept had al vastgesteld dat de Big Data smederij Palantir de deportatiemachine van de Republikeinse overheid met haar Integrated Case Management (ICM) database oplossing bestuurt.

Palantir is opgezet door de Duitse emigrant Peter Thiel. Hij geldt als een aanganger van Donald Trump. Palantir wordt ondersteund door CIA-fondsen.

De nieuwe studie verwijst nu ook naar het Falcon Search and Analysis (Falcon-SA) systeem als een ander onderdeel van het monitoring- en uitzettingsproject van het Californische bedrijf, waarmee ook software van de politie in de Duitse deelstaat Hessen werkt.

Sociale media en geodata stromen in real time in het systeem

Volgens waarnemers heeft de technische ondersteuning door Amazon en Palantir geleid tot een “gevaarlijke versnelling” van de bewakings- en deportatiemethoden van de regering Trump.

Geraffineerde profielen vormen de basis voor controversiële discriminerende politiepraktijken zoals raciale profilering

Zij zouden in staat zijn om mensen gemakkelijker te traceren en geraffineerde profielen over hen te creëren, wat de basis zou vormen voor controversiële discriminerende politiepraktijken zoals raciale profilering.

De geleverde technologie zou het ook mogelijk maken om gegevens uit een groot aantal bronnen samen te voegen, waaronder facturen van elektriciteits- of gasleveranciers, inschrijvingen in het voertuigenregister, bedrijfs- en eigenaarsregisters of biometrische informatiesystemen.

Locatiegegevens van mobiele radio

Sociale media-accounts en locatiegegevens van mobiele radio stromen ook gedeeltelijk in realtime binnen.

Bij de online groothandelaar uit de Westkust richten de auteurs zich vooral op de cloud spin-off Amazon Web Services (AWS).

Deze laatste is de belangrijkste contractuele partner van het DHS bij de migratie van de 6,8 miljard US dollar IT-portefeuilles van het DHS naar de computerwolken.

Biometrische kenmerken van ongeveer 230 miljoen mensen

De groep beheert ook het immigratiebeheersysteem van het ministerie, dat biometrische kenmerken van ongeveer 230 miljoen mensen omvat.

In totaal heeft Amazon 204 goedkeuringen voor samenwerking met overheidsinstellingen en dus aanzienlijk meer dan Microsoft met 150, Salesforce met 31 of Google met 27 relevante licenties.

Binnen enkele jaren wil DHS zijn volledige gegevensverwerking naar de cloud verplaatsen, weten de experts.

De afdeling heeft al miljoenencontracten toegekend aan Adobe, Amazon, IBM, Microsoft, Oracle, Salesforce, Zoom en andere Silicon Valley bedrijven. Met AWS blijft het in Seattle gevestigde bedrijf echter waarschijnlijk de belangrijkste IT-dienstverlener voor DHS.

Zo zorgt de nieuwe Europese auteurswetgeving voor censuur en nog meer macht bij grote bedrijven

Europa krijgt een nieuwe auteurswet. De achterliggende gedachte bij de nieuwe copyrightregelgeving lijkt goed, maar de nevenwerkingen zouden wel eens heel slecht uit kunnen pakken voor de persvrijheid. De nieuwe wet zorgt voor censuur en meer macht voor grote mediabedrijven.

In de nacht van 14 februari zijn de onderhandelaars van de Raad van Ministers, de Europese Commissie en het Europees Parlement het eens geworden over een definitieve tekst over de hervorming van het auteursrecht. Nederland heeft tegen gestemd.

Een sterke lobby van conservatieve Duitse en Franse mediabedrijven heeft er helaas voor gezorgd dat de Nederlandse inbreng onvoldoende kracht had.

De grootste impact van de nieuwe Europese auteurswetgeving komt van artikel 13 met zijn uitgebreide aansprakelijkheid voor platforms en artikel 11 met de aanvullende auteursrechten voor uitgevers.

De EU heeft er lang over gedaan om het auteursrecht in de EU aan te passen aan het internettijdperk.

De huidige versie van de richtlijn, waarop de nationale wetten in de EU zijn gebaseerd, dateert van 2001. Op dat moment bestonden YouTube, Instagram en Facebook nog niet.

De EU wil de nieuwe auteurswet afstemmen op de actuele ontwikkelingen. En laat daarbij zien dat ze het internet nog steeds niet begrepen heeft, maar dat ze beïnvloed wordt door de lobby van grote bedrijven.

Als de hervorming medio april 2019 door het Europees Parlement wordt goedgekeurd, hebben de EU-lidstaten twee jaar de tijd om de richtlijn in nationaal recht om te zetten.

Met andere woorden, in 2021 zou het internet zoals we dat nu kennen niet meer hetzelfde zijn.

Welke platforms vallen onder de nieuwe verordening?

 

Het meest controversiële onderdeel van de hervorming was en is nog steeds artikel 13, dat nu bepaalt dat bijna alle platforms waarop gebruikers inhoud kunnen uploaden aansprakelijk kunnen worden gesteld voor inbreuken op het auteursrecht door hun gebruikers.

De richtlijn heeft specifiek betrekking op alle “diensten van de informatiemaatschappij waarvan het hoofddoel, of een van de hoofddoelstellingen, erin bestaat een grote hoeveelheid auteursrechtelijk beschermde werken (…..) die door de gebruikers worden geüpload wanneer de dienst deze met winstoogmerk organiseert en bevordert, op te slaan en voor het publiek beschikbaar te stellen”.

YouTube, Facebook, Instagram en Twitter

Dit geldt met name voor sociale netwerken zoals YouTube, Facebook, Instagram en Twitter, maar ook forums van commerciële media, niche-netwerken over speciale onderwerpen, kleinere sociale netwerken uit de EU en waarschijnlijk ook open fotodatabanken.

Wikipedia, Dropbox, Amazon, eBay, Marktplaats

Er zijn uitzonderingen voor non-profit platforms zoals Wikipedia, maar ook voor e-mailproviders, cloud providers zoals Dropbox en handelsplatformen zoals Amazon, eBay en Marktplaats.

Aan de andere kant zullen zeer jonge en kleine startende ondernemingen, na het onlangs gesloten compromis tussen Duitsland en Frankrijk, slechts in beperkte mate worden getroffen door de nieuwe regelgeving – maar ook zij zullen zwaar worden getroffen door de veranderingen.

Wat moeten platforms in de toekomst doen?

De nu goedgekeurde versie van artikel 13 bepaalt dat in de toekomst alle bovengenoemde platforms zelf aansprakelijk kunnen worden gesteld voor inbreuken op het auteursrecht door hun gebruikers.

Tot nu toe zijn gebruikers direct aansprakelijk als zij inbreuk maken op auteursrechten. De platforms hoeven alleen te reageren en eventueel inhoud te verwijderen als ze op de hoogte zijn van een inbreuk.

In de toekomst zal het voor sociale platforms moeilijk zijn om hun eigen aansprakelijkheid voor inbreuken op het auteursrecht door derden te vermijden.

In de eerste plaats moeten zij “alles in het werk stellen” om licenties van de rechthebbenden te verkrijgen.

Deze regeling is van toepassing op alle winstgerichte platforms, inclusief de kleinste en jongste.

De licenties moeten dan betrekking hebben op alle uploads van gebruikers die zelf niet commercieel handelen of die geen aanzienlijke inkomsten uit de upload ontvangen.

Hoe deze samenwerking tussen rechthebbenden en platforms precies zou moeten werken, wordt in de tekst niet vermeld. Er wordt weinig melding gemaakt van de door de Europese Commissie en de lidstaten georganiseerde dialoog tussen de belanghebbenden.

Niet alle houders van rechten zullen bereid zijn dergelijke licenties te verlenen en zouden daartoe niet gedwongen moeten worden. Daarom moeten in een tweede stap ten minste platformen ouder dan 3 jaar of met een jaaromzet van meer dan 10 miljoen euro “alles in het werk stellen” om ervoor te zorgen dat niet-gelicentieerde werken die door houders van rechten aan de platforms worden voorgelegd, niet meer kunnen worden geüpload.

De enige manier om dit te doen is door een nieuw, niet-bestaand type uploadfilter te gebruiken – ook al staat het niet expliciet in de tekst.

De rechthebbenden kunnen de platforms dus voorzien van hun eigen materiaal, zodat ze dit in hun filtersysteem kunnen inbrengen.

Alle inhoud die door gebruikers wordt geüpload, moet vervolgens worden vergeleken met een enorme database en worden gecontroleerd op licenties.

Als er geen licenties zijn, mag de inhoud niet online gaan.

De vraag welke “beste inspanningen” in een bepaald geval aan een platform kunnen worden opgelegd, hangt enerzijds af van het type, het publiek, de grootte van het platform en het soort inhoud dat daar wordt geüpload, en anderzijds van de beschikbaarheid van geschikte en effectieve technologieën en de kosten die de aanbieder daardoor moet dragen. Uiteindelijk zal het ook afhangen van de huidige stand van de techniek, die in de toekomst kan veranderen.

Als er een ongelicentieerde upload van auteursrechtelijk beschermd materiaal zou plaatsvinden – bijvoorbeeld omdat er een technische fout in het filter zat of omdat de platforms niet de mogelijkheid hadden om de inhoud vooraf te filteren door een gebrek aan informatie van de rechthebbenden – dan geldt zoveel mogelijk het vorige mechanisme: Alle platforms moeten – zoals voorheen – ervoor zorgen dat de inhoud opnieuw wordt verwijderd (notice-and-takedown).

Bovendien moeten alle platforms die vorig jaar meer dan 5 miljoen gebruikers hadden, ervoor zorgen dat dezelfde inhoud niet opnieuw naar het platform wordt geüpload – ongeacht de leeftijd of omzet van het platform. Ook voor deze verplichting is er in feite alleen de mogelijkheid om filters te uploaden.

Hoe denkt de EU “overblocking” te voorkomen?

De tekst die nu is aangenomen, bevat ook een passage waarin staat dat de nieuwe regels er niet toe mogen leiden dat juridisch gebruik, zoals citaten of parodieën, wordt geblokkeerd.

Hoe deze uitzonderingen precies moeten worden gegarandeerd, is een kwestie van stilzwijgen in de tekst, waardoor de concrete uitvoering aan de lidstaten wordt overgelaten.

Het blijft ook onduidelijk hoe de EU-landen ervoor kunnen zorgen dat de platforms niet onderworpen zijn aan een “algemene toezichtverplichting”, terwijl aan de andere kant wordt geëist dat alles wat wordt geüpload moet worden gefilterd.

Indien gebruikers klagen over ten onrechte geblokkeerde inhoud, moeten de platforms een effectief klachtenmechanisme invoeren, zodat er een beslissing kan worden genomen over deze klachten. Daarnaast maakt de tekst duidelijk dat de weg naar de rechter altijd openstaat voor gebruikers.

Waarom het onmogelijk is om licenties te verkrijgen voor alle werken?

De kern van de hervorming is artikel 13, lid 4 bis, van de tekst. Dit lid dwingt alle in beginsel bedoelde platforms om licenties te verkrijgen van “de rechthebbende”, hoe klein ze ook zijn. Als zij niet kunnen bewijzen dat zij alles in het werk hebben gesteld om licenties van hen te verkrijgen, zijn zij aansprakelijk voor de inhoud die gebruikers naar het platform uploaden.

Wie zijn de rechthebbenden?

Alle auteurs en uitvoerders die rechten hebben op een werk zoals muziek, film, tekst, foto’s, enz. en waarvan de inhoud in de EU – waar ook ter wereld – kan worden geüpload. Het is niet nodig om uit te leggen dat dit een bijna onmogelijke taak is.

Om nog maar te zwijgen van de kosten die de platforms moeten maken om deze licenties te betalen. Opgemerkt moet worden dat ze moeten betalen voor deze licenties, zelfs als het gelicentieerde werk nooit echt wordt geüpload naar het platform.

Het is zeker de moeite waard om de inkomsten van grote platforms zoals YouTube, Facebook en Instagram te delen met de creatieve geesten van Europa. Uitgevers hebben een punt als zij stellen dat de grote Amerikaanse sociale platformen van Google en Facebook parasiteren op het werk van anderen en er ook nog eens voor zorgen dat traditionele media steeds minder verdienen.

Enerzijds gaat de huidige tekst echter niet meer in op de vraag of de grote uitgevers en entertainmentbedrijven hun licentie-inkomsten moeten delen met de feitelijke auteurs – in feite is op de laatste seconde een overeenkomstige passage geschrapt.

En aan de andere kant verschuift deze nieuwe verordening de algemene machtskloof ten gunste van de grote productiebedrijven, labels, uitgeverijen, enz.

Uiteindelijk zullen zij met name kleinere platforms kunnen dwingen om in te stemmen met veel te dure licentievergoedingen om aansprakelijkheid te vermijden.

Of ze ontzeggen licenties aan kleine platformen, zodat ze alles moeten filteren en minder aantrekkelijk worden voor gebruikers.

Het ziet ernaar uit dat de diversiteit van het internet in de toekomst kleiner zal worden. En de relevante dialoog zal alleen plaatsvinden tussen de “reuzen” van hun respectieve industrieën, d.w.z. tussen de “majors” van de entertainmentindustrie en de monopolisten van de Amerikaanse sociale netwerken.

De angst van veel YouTuber-executives dat hun aankondiging (beter: bedreiging) om kleine YouTubers uit te sluiten van het platform uit te sluiten, is zelfs met deze nieuwe versie van de tekst nog steeds niet volledig van tafel geveegd.

Waarom uploadfilters geen goed idee is

Als grotere/oudere platformen inmiddels eerlijk geprobeerd hebben om de licenties van alle rechthebbenden in de wereld te verwerven, zal er een lange lijst van werken ontstaan die niet vrij gedeeld zouden moeten worden door gebruikers.

Vooral omdat de entertainmentbedrijven hun monopolie hierop willen behouden.

Deze inhoud moet dan worden geblokkeerd op basis van de door de rechthebbenden verstrekte informatie.

In de praktijk is dit een zeer slecht idee.

Aanvankelijk beschikken slechts enkele bedrijven over de technische en financiële middelen om dergelijke filtersystemen zelf te programmeren.

U zult een nieuwe versie van “Content ID” moeten kopen.

Voor dit muziekfiltersysteem, dat momenteel wordt gebruikt op YouTube, heeft Google al ongeveer 100 miljoen dollar geïnvesteerd. De ontwikkeling van een “universeel filter” zal zeker nog duurder worden.

Als het überhaupt technisch mogelijk is om alle auteursrechtelijk beschermde inhoud zoals voorgelezen teksten of foto’s van beelden te filteren.

Aangezien de tekst verwijst naar de huidige technische normen, moet de markt voor filtersystemen worden afgemeten aan deze software.

Met andere woorden, elk platform dat niet tot de Google Group behoort, moet deze software van Google kopen.

Dit zal duur zijn en kan zelfs leiden tot de ondergang van sommige platformen – vooral omdat ze al veel geld moeten uitgeven aan licenties.

Anderen daarentegen zijn nog afhankelijker van het Amerikaanse conglomeraat dan nu al het geval is.

Een Europese wedstrijd voor Facebook, YouTube & Co. gaat zo de verre toekomst in.

Bovendien zal zelfs een nieuw ontwikkeld systeem niet perfect zijn – het zal fouten maken en inhoud verwijderen die eigenlijk legaal is. Dergelijke fouten kunnen al worden waargenomen in Content ID met betrekking tot muziek.

Met een “universeel filter” zullen deze fouten zeker nog vaker voorkomen.

Aan de andere kant zullen legale toepassingen zoals parodieën en citaten altijd worden gefilterd, ook al is de richtlijn niet van plan dat te doen.

Er moet een klachtenmechanisme voor gebruikers zijn.

Maar wie neemt de moeite om verslag uit te brengen over een video, een muziekstuk of een foto als je eerst een lange klachtenprocedure bij YouTube & Co. moet doorlopen?

Je moet ook denken aan live streams – want eigenlijk zouden ze ook gefilterd moeten worden.

Als een stream wordt gestopt vanwege een vermeende inbreuk op het auteursrecht, helpt het klachtenmechanisme de streamer niet veel meer.

Een dergelijke voorfiltratie kan leiden tot verarming van de diversiteit op het netwerk en de vrijheid van meningsuiting van de gebruikers bemoeilijken of bemoeilijken.

Het Hof van Justitie van de Europese Unie (HvJEG) zag deze effecten al in 2012: op dat moment had het Hof geoordeeld dat sociale netwerken de inhoud niet mogen blokkeren door voorfilteren – de inbreuk op het persoonlijkheidsrecht en de vrijheid van meningsuiting van gebruikers was te groot (arrest van 16.02.2012, ref. C-360/10).

Maar tegen de tijd dat het Hof van Justitie opnieuw de gelegenheid heeft om commentaar te leveren op het onderwerp, zal de grote filtering al in volle gang zijn.

Wat kunnen we nu nog meer doen om artikel 13 te voorkomen?

De komende weken zal de tekst worden voorgelegd aan de Raad van Ministers en het Europees Parlement voordat de eindstemming in het Parlement naar verwachting medio april, een maand voor de Europese verkiezingen op 26 mei, zal plaatsvinden.

Als de tekst met een gewone meerderheid wordt aangenomen, wordt de richtlijn werkelijkheid.

Bij de laatste stemming in het Europees Parlement was er slechts een krappe meerderheid, hoewel op dat moment een bredere uitzondering voor kleine en middelgrote ondernemingen werd voorzien.

Klantenservice via Whatsapp is in strijd met de AVG. We leggen uit waarom

Steeds meer bedrijven bieden de mogelijkheid om via WhatsApp contact op te nemen. Dat lijkt een prima service, maar het is in strijd met de privacywet. We leggen uit waarom.

De klanten van sommige verzekeraars kunnen bijvoorbeeld via WhatsApp een kopie van een schadeformulier, factuur of contract naar een mobiel telefoonnummer van de klantenservice sturen. Geen gedoe met het schrijven mail. Lekker handig. Maar het mag niet.

Er zijn vier problemen op het gebied van gegevensbescherming:

  • De overdracht van contacten van het adresboek van de gebruiker naar WhatsApp.
  • De overdracht van persoonlijke gegevens naar de VS.
  • Het gebruik van persoonlijke informatie door WhatsApp.
  • De overdracht van gebruikersgegevens naar andere bedrijven van de Facebook-groep

De rechtmatigheid van het gebruik van WhatsApp door bedrijven wordt geregeld door Algemene Verordening Gegevensbescherming (AVG).

De overdracht van contactgegevens van het adresboek naar WhatsApp is al regelmatig verboden.

De verantwoordelijkheid voor het indienen van adresboekgegevens bij WhatsApp ligt bij het individuele bedrijf dat WhatsApp gebruikt om te communiceren.

Overeenkomstig artikel 6, lid 1, AVG is voor een dergelijke overdracht een rechtsgrondslag of toestemming vereist.

Met betrekking tot de contactgegevens van personen die reeds gebruik maken van de WhatsApp-dienst, is artikel 6, lid 1, onder f), van de groepsvrijstellingsverordening van toepassing op niet-publieke organen.

Een legitiem belang van de gebruiker bij de overdracht van contactgegevens van WhatsApp kan worden geïmpliceerd met betrekking tot de reeds geregistreerde gebruikers van de Messenger-dienst.

Zelfs als een legitiem belang bij het overdragen van contactgegevens aan WhatsApp wordt bevestigd, zal een belangenafweging niet in het voordeel van een overdracht zijn, tenminste als de contactgegevens ook worden overgedragen door personen die WhatsApp niet gebruiken. Veel getroffenen maken bijvoorbeeld helemaal geen gebruik van een Instant Messenger-dienst of gebruiken een andere dienst.

De contactgegevens van deze personen kunnen daarom alleen worden doorgegeven met effectieve toestemming overeenkomstig artikel 6, lid 1, onder a), juncto artikel 7 en 8 AVG.

Deze zal niet regelmatig beschikbaar zijn voor de overdracht van gegevens uit het adresboek van de smartphone.

Hoewel het denkbaar is om toestemming van de betrokkenen te verkrijgen, zal dit regelmatig niet uitvoerbaar zijn.

Bovendien, als slechts één persoon van wie de gegevens in het adresboek zijn opgeslagen de toestemming weigert, is het niet langer mogelijk om het adresboek op basis van toestemming te verzenden, tenzij het contact zonder toestemming eerder uit het adresboek is verwijderd.

Voor de functionaliteit zijn deze overdracht naar WhatsApp en de volledige afstemming van alle contactgegevens die in het adresboek zijn opgeslagen, niet verplicht.

Dit wordt aangetoond door tal van andere Messenger-diensten met alternatieve manieren om contact op te nemen met andere gebruikers van dezelfde Messenger-dienst, zoals een QR-code.

Als andere Messenger-diensten dezelfde matchingprocedure uitvoeren als WhatsApp, zullen ten minste enkele van hen de niet-geregistreerde contactpersonen onmiddellijk na de negatieve match verwijderen, volgens hun eigen informatie.

  • Ten eerste is het denkbaar dat een smartphone met een leeg adresboek wordt gebruikt. 
  • Ten tweede is het mogelijk om de toegang tot contacten via de WhatsApp-toepassing uit te sluiten via instellingen, bijvoorbeeld in het Android-besturingssysteem van smartphones vanaf versie 6.0.

 

Vooral bij deze configuratie van de smartphone is de functionaliteit van de applicatie als volgt beperkt:

  • Als WhatsApp na de installatie geen toestemming krijgt om toegang te krijgen tot de contactpersonen, maar voor de eerste toepassing, kan de gebruiker niet zelfstandig met de communicatie beginnen, maar alleen zelf contact met hem opnemen.
  • Het is niet mogelijk om handmatig een telefoonnummer in te voeren dat gebruikt moet worden voor communicatie.
  • Als WhatsApp later toestemming krijgt om toegang te krijgen tot de contactpersonen, worden de telefoonnummers van de contactpersonen overgezet naar WhatsApp.

 

Een gebruik van WhatsApp zonder overdracht van telefoonnummers is daarom alleen mogelijk als de toegang tot de contacten direct na de installatie permanent wordt gedeactiveerd.

De overdracht van persoonlijke gegevens naar de VS is over het algemeen gerechtvaardigd bij WhatsApp, omdat WhatsApp deelneemt aan het zogenaamde Privacy Shield.

De Privacy Shield Agreement is momenteel van kracht en vormt derhalve een geldige rechtsgrond.

Op basis van het Privacy Shield heeft de EU Commissie besloten dat persoonsgegevens naar de VS mogen worden overgedragen indien het ontvangende bedrijf zich heeft gecertificeerd, d.w.z. zich heeft verplicht tot naleving van de principes van het Privacy Shield, en als actieve deelnemer is opgenomen op de website van het Amerikaanse ministerie van Handel.

Op basis van het privacyschild kunnen persoonsgegevens naar de VS worden overgedragen overeenkomstig artikel 45, lid 3 AVG.

Daarom zijn er momenteel geen bezwaren tegen de overdracht van persoonsgegevens aan de VS tijdens het gebruik ervan.

Er wordt echter al geruime tijd op hoog niveau gepraat over de rechtmatigheid van het privacyschild. Het risico bestaat dat de Privacy Shield Agreement voor de rechter wordt aangevochten en door het Hof van Justitie onverbindend wordt verklaard. Dit is al gebeurd met zijn voorganger, de zogenaamde Safe Harbour Agreement.

Het gebruik van WhatsApp is in ieder geval een inbreuk op Art. 25 lid 1 AVG.

Het vereist dat de voor de verwerking verantwoordelijke passende en evenredige technische en organisatorische maatregelen neemt, zowel op het moment dat de verwerkingsmethoden worden vastgesteld als op het moment van verwerking, om de beginselen inzake gegevensbescherming effectief toe te passen.

Dit betekent dat de keuze van de verwerkingsmethoden zodanig moet worden gemaakt dat bij het gebruik van de verwerkingsmethoden aan de basisgegevensbeschermingsverordening kan worden voldaan.

De selectie van WhatsApp vormt een inbreuk op deze verplichting. Enerzijds is de regelmatige overdracht van gegevens uit het contactboek in strijd met het beginsel van de gegevenseconomie in artikel 5, lid 1, letter c AVG.

WhatsApp biedt niet de mogelijkheid om deze overdracht uit te schakelen, te beperken tot individuele contactgroepen of anderszins de overdracht te configureren.

Ten tweede selecteert WhatsApp een serviceprovider die persoonlijke gegevens verwerkt op een manier die niet in overeenstemming is met de toepasselijke wetgeving.

WhatsApp verklaart in haar Privacybeleid zelf dat zij de informatie waarover zij beschikt gebruikt voor doeleinden die nauwelijks beperkt zijn.

Harde Brexit kan bedrijven die persoonsgegevens in Groot Brittannië laten verwerken in problemen brengen

Organisaties die gebruik maken van een helpdesk in het Verenigd Koninkrijk, of daar persoonsgegevens laten verwerken, doen er verstandig aan om naar een alternatieve oplossing binnen de EU te zoeken.

In geval van een harde Brexit wordt Groot Brittannie door de Autoriteit Persoonsgegevens beschouwd als een niet-EU-land waar zonder verdrag geen gegevens mogen worden verwerkt. De AP zou boetes uit kunnen delen als dat na de Brexit nog wel gebeurt, waarschuwt Branchevereniging Nederland ICT.

Als er een harde Brexit komt, vervallen alle huidige afspraken over de opslag van persoonsgegevens in Groot-Brittannië. Het land heeft dan dezelfde status als een niet-EU land waar geen bijzondere afspraken mee zijn gemaakt.

Opslag mag dan alleen nog als zo’n land een vergelijkbaar beschermingsniveau voor de opslag van persoonsgegevens biedt als een EU-land én als er ook aparte afspraken mee zijn gemaakt.

Die situatie verandert pas als er aparte afspraken gemaakt zijn met Groot-Brittannië, zoals nu bijvoorbeeld ook het geval is met de Verenigde Staten en Canada. Daar gaat echter de tijd overheen.

Branchevereniging Nederland ICT pleit voor een overgangsperiode van 15 maanden. Organisaties hebben dan de tijd om te kijken welke maatregelen het beste zijn als ze persoonsgegevens laten verwerken in het Verenigd Koninkrijk.